从GDPR看企业数据安全合规建设

1、 从GDPR看企业数据安全合规建设欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大，位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR 本质上来说是一系列打鸡血版强制执行隐私条例，规定了企业了在对用户的数据收集、存储、保护和使用时新的标准；另一方面，对于自身的数据，也给予了用户更大处理权。所以，如果你生活在欧洲（毕竟 GDRP 只在欧洲生效），你已经受到了新的条例保护，但是这不代表着如果你生活在欧洲之外那这件事就与你完全无关。因为考虑到全球性是写入互联网基因内的属性，几乎所有的服务都会受到影响，所以生活在欧洲

2、之外的人其实也会从此条例中获益。此外，GDPR 的实施，也重新唤起了世界其他地方的人对隐私和数字生活中个人权利的重视。在欧洲，事实上也是目前世界范围中，GDPR 是最完善、最严格的隐私保护规定，体现在下面几个方面。企业部分首先，企业在收集用户的个人信息之前，必须以简洁、透明且易懂的形式，清晰和平白的语言向用户说明：将收集用户的哪些信息；收集到的信息将如何进行存储；存储的信息会如如何使用；企业的联系方式。也就是说，之前的那种通过使用模糊的、容易混淆的语句连哄带骗的使你同意被收集数据的做法是不再被允许的。在这个语境中，个人信息是指如你的 IP、你的邮箱地址、你的用户名等一切能确定你的身份的信息。其

3、次，GDPR 的处罚力度非常高，高到足够引起所有的公司重视。每次违反条例最高处罚金额为该公司年度营业额的 4%，或者 2000 万欧元，取决于哪个数值更大，Google 或 Facebook 或许能够 承受起这种程度的罚款，但是对于规模小一些的公司，这种处罚是致命性的。用户部分我们作为消费者，随着 GDPR 的实施，享有的权利有：数据访问权：首先，我们有权给予向企业问询个人信息是否正在被处理，如果正在被处理的话，可以继而了解：a.处理的目的; b.相关数据类型; c.数据接收方的信息 d.如果对象是数据接收方，可以问询其数据来源。被遗忘权：其次我们有权要求企业删除掉个人数据，当数据已经披露给第

4、三方时，用户可以继而要求他们删除相关数据。限制处理权：我们有权禁止企业将信息用于特定的用途，像禁止企业用于垂直营销。假如最近在购物网站搜索了精酿啤酒为关键词的商品，网站的推荐信息流或者和该网站有合作的其他站点中可能就会向你推荐类似的精酿啤酒，我们现在可以要求该公司不能将这件事透露给其他公司，甚至特可以要求该公司本身也不能把这件事用于任何营销活动。数据携带权：简单来说，当我们想离开某个平台时，可以要求该平台将我们在该平台产生的数据，以格式化的、机器可处理的格式提供给我们。罗马不是一天建成的，GDPR 也不是一天就制定的，欧洲人一直就对隐私尤其重视，关于隐私保护的讨论早在上世纪便已开始。新世纪里，Google 和 Facebook 这种巨型商业公司提供的平台中，聚集了无数的用户和数据，也赋予了巨型商业公司无上的权利，GDPR 的制定